以下是现场速记。
北汽福田信息安全部长 张志强
张志强:首先非常感谢能有这个机会,也非常感谢范总和主办方能让我在这么美丽的城市和大家去分享北汽福田在信息安全方面的一些建设的路径和一些建设的经验。
这几天我也认识了很多新朋友,也非常高兴。所以在这里简单介绍一下我自己。
我来自北汽福田汽车,之前大概有十多年的it从业经验,主要都是集中在百度和ibm,我2017年来到北汽福田,来到北汽福田是对我的职业生涯的一个挑战,来了之后主要负责四个业务的板块,1.负责新技术和新应用的引进。2.负责it基础设施部,我们集团有几个比较大的部门,其中我负责it基础设施部里面和云计算、it基础设施相关凯发在线的解决方案的落地以及相关应用。3.信息安全,这块是我们集团近几年非常重视的一个板块,所以单独成立了信息安全部,我暂时先管理这个部门。4.同时兼任欧辉新能源,因为公司战略转型,我们和北京公交集团成立专门应用于新能源领域的公司,大家到北京会发现,在北京很多的车,尤其是公交车,几乎都是北汽福田的,所以兼任这个公司网络安全部的负责人。
一、凯发在线的介绍
我公司是1996年成立,福田汽车2021年品牌价值超过1800亿,目前在综合行业排行第四名,在北汽下面分商用车、乘用车,我们是最大的,商用车领域这块目前综合排名第一位,去年首次销量突破1000万辆车。
以前大家认识北汽福田可能因为它是一个整车厂,随着现在业态的变化,尤其是在后市场和金融市场我们都有很大的布局,成立相关投资机构和分公司,形成一体化汽车的生态。目前除了有整车,还有核心零部件,还有汽车金融和后市场,后市场囊括现在比较火的车联网。
研发布局,总体上以北京为中心,布局全国大概十五个智能创新中心。在北京是一个创新中心,也是我们所在的总部,有八个国内整车应用开发中心,还有三个合资公司的技术中心,还有三个智能网联科技公司。
我们在制造过程中,全国布局比较广,之前在国际上有一些工厂,目前收缩之后,布局主要是在中国工厂大概十八个,遍布区域比较广,无论是在北京还是山东,因为福田汽车是山东起家的,山东是我们最大的制造基地,每年大概有一半的车几乎会从山东发出去。
全球化布局,在全球目前保留了22个kd工厂,产能都是8万辆,已经实现全球化的产业布局,近期也在考虑另外一个东南亚的市场。我们全球化产业布局的路还在继续向前,明年再分享可能就变成23甚至24。
福田合作体系比较健全,掌控了汽车最核心的三个大部件:1.已经与戴姆勒集团合资建立了北汽福田戴姆勒公司,这在业界算是比较火热的新闻。2.我们和发动机厂商康明斯有发动机的合资公司,甚至在前年创建的盖房后处理系统。3.我们和采埃孚做变速箱,无论是中轻还是重卡都是用采埃孚。
我们公司不仅承担生产制造等相关业务,同时也会参与国家很多行业标准建立的,参与国家25%以上强制性标准制定,获得专利6000多件,新能源相关专利1183项。新能源将会是国内另一个快车道,这也是我们弯道超车最好的时机。
随着工业4.0的发展,福田汽车在工业4.0和数字化转型几年前开始启动,福田汽车在4.0这个阶段也获得国家很多认可,无论是智能制造的示范工程、示范点,还是工业互联网的创新中心,欢迎大家去我们福田展厅看一下。
二、挑战与机遇
今天主要讲一下我所负责的第三个板块,即信息安全方面。信息安全更多让大家提起来的是这几年,不仅是工业4.0所带来的,更多还是数字化业务的需要。我的老大也会说我们要从自动化到智能化发展,中间就是数字化。所以公司已经和国际上比较知名的公司签署了相关数字化转型咨询战略方面的东西,信息安全在这方面就要做相关的调整。当公司重视这件事情不是无缘无故的,是在求变,信息安全也是在求变。
目前全球网络数字犯罪造成的损失很惊人,2021年数据,大概每年是6万亿美金,相当于世界经济的10%,所以这个风险如果平摊到每个区域,只看亚太区,大概39%,但我个人认为今年会更高,因为今年我们在很多领域都遇到了相同的问题,疫情来袭,会导致很多制造型企业转型受阻,其中办公就会受阻,这是最典型的应用,我们和原生的创投公司或者互联网公司不太一样,他们原生就具备远程办公的先决条件,传统企业很难,之前就没考虑过这种,我们还用以前最简单的vpn远程办公,但是vpn只建立一个通道,你的研发系统、核心应用怎么办?安全怎么办?这些都是我们要考虑的。
在数字化转型大的背景带动下,安全所面临的挑战,以前可能面临的技术是传统所熟知的烟囱型的技术,现在在新技术加持下,比如ai、大数据、物联网或其他移动办公,甚至车联网这些出来之后,对安全的挑战也是非常巨大的。
很多公司因为要转型,必然会使用云,无论是用公有云还是私有云,甚至混合云,因为我之前做过一次专访,当时跟工信部同志聊,我的意思是将来发展一定是混合云的态势(这块仅限于我们制造业的观点),不会仅仅只是公有云或仅仅私有云,私有云的算力达不到公有云那样,但是公有云的安全敌不过私有云,所以是混合态。上云时,大家所关注也是安全问题。在后疫情时代,我们可能更适用于移动办公、远程办公模式。以前在没有疫情时,陪伴最多的人就是陪老板,现在有疫情之后,发现经常陪孩子,很少陪老板。但真正办公时还需要人与人之间的沟通与协作,这是传统制造企业大家所最能接受的方式。如果在后疫情时代,大家接受了远程办公的模式,我们安全该怎么做?
除了我们所看到外部的威胁和内在一些驱动因素,还有国家在顶层设计上已经把信息安全提到了国家战略的高度,我们无论是在法规方面,有“三法”的出台,还有监督管理,类似于我们这种企业,几乎每个季度网安同事都会问候我们一下,等保同事都会找我们聊聊天,就看你做得怎么样,有没有按照公司、国家的要求做等保,有没有按要求做系统保障工作等等。我们还要实现重保,无论是重大活动的重保,还是国家队护网行动,今年我们公司又非常幸运被选中了,国家会选出14支攻击队,其中有一支攻击队对我们进行攻击,检查我们公司的网络是否能够抵御常规或者更特殊的一些攻击。
痛点
总结几个在整体信息安全运营方面的痛点,因为之前和大佬也聊过,我们公司每年在信息安全投入方面都达到了大几百万,甚至有的时候超千万。我们已经采购了很多硬件,安全方面的硬件,甚至软件都有,缺的是运营,去年开始提出再做就开始做信息安全的运营,而不仅仅是建设,要把重点从建设转到运营。我们有几个痛点:
1.运营机制相对落后。
主要体现是风险发现非常不及时,而且很滞后,可能用户都已经发生了问题很长时间了,我说的很长时间可能是数小时之后安全部门才能看到,有可能还是用户报上来的,很被动。
重大活动很难保障,比如护网最典型的这种实战场景。
2.专业人才缺失。
可能在互联网公司或创投公司这方面他们会很重视原生态的安全,我们这种转型中的企业,尤其是传统企业在安全人才的缺口原生力量并不是很多,而且资金不足,尤其在安全方面的投资,相信各位企业也是在安全方面的投资非常慎重的,因为有些东西老板是要看到roi,要看到它的价值。
团队知识比较单一,很多同事是从别的研发部门或设计部门调到安全部,他的指示体系结构并不是我们所说的it的信息安全和集成的体系结构,所以他的安全意识相对薄弱一些。
举例,开发的人可能更关注这个软件的功能是否能实现,但是在真正工作当中,没有考虑这个软件的代码编辑出来,架构编辑出来,软件结构有没有考虑安全因素,这其实是安全滞后的一个最明显的表现。我们公司也在尝试引进相关模型来解决这一问题。
3.网络架构复杂。
我们集团目前有18个国内分支,还有大概22个国际kd工厂,网络结构相当复杂,意味着我们的短板效应也会非常明显。
安全设备异构很严重,18个工厂恨不得买了18个安全品牌的东西,比如防火墙等等,品牌都不一样,管理权分散,安全的效果很难发挥出来,因为不同的人对安全的理解不同,对系统的操控能力也不一样。
主要是我们国内一张大网,集团已经实现了大内网,但这块属于我所负责的第二板块,也是我今年优化的重点,会在第二板块把大家所看到的结合起来降本增效,无论是在华东区、华北区、华中区有很多入口,安全该怎么做?这就是网络复杂性的表现。
三、思路与建设
我们在运营方面要想该怎么样保证公司这么大一个体量业务正常运行。思考了一下,可能会通过以下方面去落地,以“被动防御”为理念的安全建设,将会向自动化、智能化、动态化的“主动运营”转变,也就是说大家经常提到的人机共治的方式,不仅仅要依靠人,要更动依靠现在新技术,ai、云技术等方面来帮我们,而且实现云云上下的同步。
1.技术
先看一下技术,只有这样才能满足数字化对敏捷性的要求。大家认为数字化转型敏捷性要求只是对业务或商业模式的要求,其实它的商业模式的转变会要求下面很多业务流程、业务、安全,甚至数字化底座,也就是我所负责的it基础设施的转变,也要求具备敏捷性。我们在技术方面有几个最典型的要求。
安全设备必须联动,而且安全风险可视化。以前我们经常跟老板要钱时,尤其是跟cfo要钱时,整天说有很多地方不满足安全的要求,有很多恶意攻击,要拿出相关证据,以前拿的是机器里的报表,甚至有的会拿excel表,对老板来说很不直观,这块我们要做的第一件事就是安全风险的可视化,以他能接受的方式看到目前安全怎么做的,我们目前安全有多少东西,什么样的东西在攻击我们,攻击我们什么系统,是否攻击成功了。
集成实现的响应,威胁亲报核威胁搜索能力,这块更多融入了线下和线上,线上我们和一些专业的安全公司合作,比如他们的威胁引擎,甚至我们可以应用到他们的拓网络,他们会帮我们做一些泄密等探索更深层的工作,这些以前是在福田不可能的,比如渗透到拓网络里不可能,它在冰山以下,这时候我们就会倚重这些公司实现线上线下的配合,来增强我们的威胁预警能力。
2.人员
制造业有一个短板,尤其是把it定位更多在职能性部门,这块每年调拨预算都有限,现在安全人员身价水涨船高。记得当年我面试一个银联的高级经理,他跟我聊说你要给我年薪80万,对于互联网公司80万都不算什么事,可能就是一个工程师的钱,但是在制造企业这是非常大的投入,应该算是一个比较大的支出。所以我应用了一套融资租赁的模式,引入专业的安全团队,以外包运营的方式,引入这样的公司帮助我们做运营,不仅帮我做运营,还要出相关安全体系的设备和方案,也就是说我把我公司的安全能力委托于你,按照我们所商定好的方案、模型去建设,保证我们公司的安全。这块成本就可以通过分摊,一年出不了这个钱,三年出,打散,符合公司整体投入支出,弥补人才短板。
我们记住这个机会,培养公司内部人员的素质和技能。很多人的技能比较单一,甚至不是信息安全方面的技能,我们就会透过这个项目来培养属于我们公司自己的人员梯队。
3.流程
做任何事情要先做流程,制度管人,流程管事。我们在建立和运行敏捷的信息安全运维管理体系,之前建立了一套,问题是敏捷性很不够,所以我们基于现在这种情况,借助iso7001机会,重新修订信息安全运营体系相关的管理制度,把运营业加了进去。
修订按组织,明确职责职能。以前18个地方有18个老大,现在明确组织,由总部调拨到我的部门,必须按照我的审核,才能按照总部制定的去投资,投资标的或标准必须符合总部的要求,与总部现有的运营管理平台可以无缝衔接。
我们在安全运营方面要做到智慧的运营。看字面比较高大上,就是我们引入了一些大数据分析、ai、云平台技术,加上云脑,配合我们线上线下进行调度,来形成我们自己这么一个建设的思路。就会按照这一思路去建设信息安全运营的平台,主要满足风险识别、协同保护、监测预警、响应处置、监督检查这些循环。
针对这一思路,建立了福田汽车工业互联网安全体系架构。目前所展示的这张图以技术维度去画的,首先整体信息安全目标是数据不丢、应用可用性不能断;实现进不来、拿不走、可恢复。数据安全的重要性,有的时候把数据备份就ok了,但没有校验备份有没有问题,所以加了这么一条,一定要可恢复,在整个实操层面都会围绕这个资产,当然资产这块类别很多,其中包含数据资产,会围绕这些维度进行相关的防护。
我们给这个平台起名叫做“智云”,因为我们有很多智开头的。今天所讲的更多是落在安全运营中心,当然这个运营中心也是在我们集团有一个信息安全组织统一带领和指导下来做的。
我们与专业的信息安全公司共同制定了公司的安全运营体系架构,在这里糅进去了之前我们想要做的理念,包括sora以及各种各样的技术,比如ai、态势感知等来形成技术栈,也就是技术工具。这里有相关人员的配合,无论是外包人员,还是正式员工,还是高层领导,都在这个组织里来配合这个组织做任何组织之间的调动、反馈等,还有机制与流程。我们公司尤其在转型过程中,对流程的优化每天都是一个样。
我们以前的流程非常冗余,立一个项要等两三个月,现在流程优化之后可能15天这个项目就可以起来,甚至更快。所以在运营方面,我们也在优化运营的流程,无论是报账,当发现信息安全问题,从终端反馈给我们,还是我们主动发现,目前所应用的都是以主动发现为主,用户报账是很小的一部分,因为我同时管的部门里还有运营部门,去分析这个月用户的满意度怎么样,系统可用率是多少,因为要向戴姆勒、康明斯,甚至其他公司汇报今年为你服务的怎么样。
这是我们公司内部结算的体制。这块我们就可以清晰地看到满意度在提升,因为很多问题在用户无感知情况下,我们就已经通过运营平台解决掉了。比如有人的电脑中毒了,管理员远程可以做;如果有一个挖矿,管理员不用去花很长的时间定位,只需要通过一张屏可以看到挖矿的链接是从哪儿发出到哪儿去,点旁边的鼠标一下,就可以联动全集团数十道防火墙同时封掉这个链接。同样,在信息安全领域有些其他的应用场景,比如要封禁一个人,查找一个东西,都可以通过这一个平台去做,去抽取他的信息,去看他的行为路径,他的电脑流量在网上怎么传输的。通过联动机制,可以节约很多信息安全运营人员的时间,他就有更多时间去学习新的技术。
目前我们在打造一个学习型团队,尤其在数字化转型过程中,学习很重要。如果我们还在固步自封地去掌握从大学所学的知识完全不够了,学开发,现在开发技能感觉有人一直在挑战我,所以更多要适应现在社会的发展。在信息安全方面我们也在鼓励员工每天至少拿出3~4个小时去学习,无论是学习信息安全还是学习别的技术,甚至学习别的理念,至少有这个时间要去学习,而不是一味地不停在工作当中。
要实现这样的目标,就要实现你所工作的标准化和自动化,这是前提。在大老板支持下,我们在这方面也投入了很大的精力,无论是人力物力还是财力,来满足这一需求。
我们部门在日常应用中的工作重点,相信也是很多企业经常会用到或碰到的场景,当然这些场景还在随着业务的拓展和新的业务的融入在发生相关变化。这里单独加入了信息安全培训独立出来,以前大家并不重视信息安全培训,觉得可能是一个分支,就罗列到下面去,但实际上它目前是相当重要的。所以我们从上上个月开始制定了一个规则,每个月都会邀请业内比较知名的厂商给我们去培训,培训信息安全的知识,培训基础设施的知识,让我们更好的与外面有更多的交流和接触,学习到更多的知识。所以培训在我们这里已经是非常重要的一个课题,尤其在信息安全运营当中,我们的培训发挥了很大的作用。
我们现在几个刚毕业的学生已经很快可以入手去操控现在的智云平台,知道如何防御挖矿,如何解决这台机器上面的挖矿,这些基本的排查能力他们已经具备了。
还有标准的制定,我们公司每年都会对信息安全标准,无论是建设标准还是运营标准都会进行相关的修订,修订的篇幅比较大,每一次修订大概有40多个文档,每次修订的工作量也很大。为什么要修订?因为每年公司的业务和业态都在发生变化,我们要顺应业务的变化来修改规则,让我们的业务规则越来越优化、越来越适应业务的发展。之前有一句话,“安全和便利性是相悖的”,我们可以应用各种各样的方式,比如标准、培训以及其他业务培训等来寻求一个平衡点,保证业务连续性的同时来提高终端客户的满意度,这其实也是我们部门所要求的。
我给安全部门定的满意度是99.95%,这个标准很高,但是我们的习惯是把标准拉高,让大家处于相对紧张的情况,可能比标准提前定很低要好很多,尤其在信息安全领域。这种方式可能仅适合生产类和信息安全类。
常规类资产,我们引入新的主机安全机制,现在无论是公有云的安全,还是线下的私有云,我们的安全机制都已经引入了主机安全机制来弥补以前在主机上只安装杀毒软件等类似的问题,更全面地去发现问题和解决问题的能力。
还有漏洞管理、威胁管理、事件处理。这里我比较推荐的,也是在福田汽车建设过程中花费精力和资金比较多的,主要是在漏洞管理和威胁管理方面。以前我们没有这套体系时,没这么做时,几乎不知道外部有什么威胁会威胁到我,可能已经威胁到我了,甚至已经在我们这边用其他攻击模式潜在在我这里了,实际上我根本不知道,包括将来我们安全的趋势是什么样也不清楚。现在可以通过大数据,通过分析可以知道哪块业务经常受攻击,受什么样的攻击,甚至会自动推送给我在某某地区发生了什么样的问题,可能这个问题将来在制造业也会发生,会有这样一个推荐给我们,我们就可以提前在这方面进行相关的布局。这方面是我们花费的资金比较多的地方。
四、价值与未来
如图,页面多达20多张,因为领导的维度不一样,我随便摘了几个,比如:
·集团攻击态势情况展示
我们集团管理200多套系统,每套系统如果拆开,机器量能达到数千台。这么大的量,如果光靠我们几个人,风险很高,因为人员配比上就可以看出来,所以我们引入了这种运营机制。目前来看整体攻击态势也好,攻击分布,通过可视化视图就可以给老板看,无论是cfo也好还是cto也好,都可以给他们看。
·对外连接风险监控
这张图是我和另外一个同事亲自修改过的,要知道里面这些同事们经常要连哪些东西,哪些危险的东西,业务不仅仅集中在北京总部、全国,在全球都有,曾经出现过类似的情况,有些东西直接传到国外去,不知道传输路径,都需要从交换机上抓日志去品凑,所以出现了外连的监控。如一外连的地区是定义的敏感区域,信息安全的人会在很短时间内找你。找之前就已经有邮件过去了,而这个邮件不会发给他,会自动发给他的老板,他的上级的上级老板,而不是他当级老板。这一机制也是让大家知道目前公司对安全的重视程度。
·分支机构事件监控
定期把事业部的安全事件会上传到北京进行统一分析,就是说把权限收集回来,由总部统一进行相关调度。
这样做所带来的好处,无论是在提高工作效率上,还是在网络的防御能力,最现实的是让老板能够看到你的价值,这是非常重要的。这里简单说两个与我工作相关的,因为我除了这些工作之外,还要负责工作价值的可视化、提升员工合规意识,这块对于很多企业都是更需要的。
安全是基础,当有其他部门来找你时,要通过安全的方式来解决这些合规的问题,当然这是另外一个大话题,我们有时间再讨论。所以我们应用了这些东西之后,看到了这些好处。
在未来,有几个比较大的板块是发展的重点,即车联网,自动驾驶和后市场。福田汽车已经开始进行数字化转型,而且坚定不移的,由我们董事长亲自带队,所以商业模式会比较重构,信息安全作为支撑,也会不断更新,最终构建起我们数字化的信息安全运营体系。谢谢各位!